Астрахань.Ру Новости Форум Прогноз погоды Работа Программа ТВ Каталог сайтов Рейтинг
Сервисы: новости (старая версия) · желтые страницы · объявления · интернет · справки · история Астрахани · WiFi · почта · карта Астрахани
Досуг: фотогалерея · праздники · чат · Astrakhan.Ru TV · сонник · журнал · игры · о проекте · реклама на портале · правила форума

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.

Ladomir

Вирус-вымогатель WannaCry

Автор Ladomir, в SoftWare

Рекомендуемые сообщения

Ladomir   

Ladomir
Опубликовано
12 минут назад, ГМО сказал:

Взломали петю.

Вот тут хаутушка как расшифровать.

https://geektimes.ru/post/274104/

Если так, то здорово. А то украинское СБУ руки опустило:

СБУ: Зараженные данные вирусом Petya.A расшифровке не подлежат

 

Посмотрел статью по ссылке на Geektimes - это не про нашего Petya.A. Статья еще апрельская и про другого Петю.
А сейчас мы имеем дело опять с WannaCry, только модифицированной.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Ladomir   

Ladomir
Опубликовано
11 часов назад, Ladomir сказал:

Индикатором компрометации может быть наличие файла C:\Windows\perfc.dat"

Найден способ локально остановить исполнение программы вируса-вымогателя Petya. Для этого в папке с Windows надо создать файл без расширения с именем "perfc".

Вирус, у которого есть права администратора, перед подменой MBR проверяет наличие по указанному адресу пустого файла без расширения с таким же именем, как название файла dll этого шифровальщика. Если вирус найдет такой пустой файл, то выполнение вирусной программы прекратится.

Однако если у вируса нет прав администратора, он не сможет проверить наличия пустого файла в папке "C:\Windows\". Тогда процесс шифрования файлов все же запустится, но без подмены MBR и перезапуска компьютера.


 

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Ladomir   

Ladomir
Опубликовано

 В общем получается, что NotPetya - это кибер-оружие, средство уничтожения данных, а не просто очень агрессивный вид шифровальщика.

Дело в том, что  файлы пользователя шифруются (повреждаются, теряются) необратимо - дешифровка не предусмотрена.

К тому же он шифрует еще и MFT (master file table). Этот файл сохраняет расположение файлов на жестком диске. Если он остается зашифрованным, нет никакого способа выяснить расположение файлов на инфицированной машине.

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

queyron   

queyron
Опубликовано
23 часа назад, Ladomir сказал:

 В общем получается, что NotPetya - это кибер-оружие, средство уничтожения данных, а не просто очень агрессивный вид шифровальщика.

Дело в том, что  файлы пользователя шифруются (повреждаются, теряются) необратимо - дешифровка не предусмотрена.

К тому же он шифрует еще и MFT (master file table). Этот файл сохраняет расположение файлов на жестком диске. Если он остается зашифрованным, нет никакого способа выяснить расположение файлов на инфицированной машине.

 

Но есть IntelliRAW от R.Saver

 

Цитата

 

IntelliRAW — улучшенный алгоритм посекторного сканирования для поиска файлов по известным сигнатурам. В отличие от обычных алгоритмов поиска файлов по сигнатурам, IntelliRAW дополнительно использует информацию из остатков служебных структур файловой системы для построения предположений о началах файлов и их длине. Благодаря этому, R.saver показывает лучшие результаты, чем программы, использующие алгоритмы, основанные на простом посекторном сканировании.

 

Результат работы IntelliRAW, как и других алгоритмов такого рода, выглядит как папки с именами, соответствующие расширениям файлов, в которых лежат пронумерованные файлы соответствующих типов.

 

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

HUNTER LIBERTY   

HUNTER LIBERTY
Опубликовано
В 01.07.2017 в 12:49, queyron сказал:

R.Saver

крутая прога -лихо востанавливает

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

S.V.   

S.V.
Опубликовано

Вчера приносят на ремонт роутер. Юзается на Телплюсе.

Чтобы проверить как с его логином подключится pppoe втыкаю шланг Телплюса

прямо себе в комп.

Как обычно получается ip локальной сети 10.5.x.x / 255.255.0.0

И вдруг бац :

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

S.V.   

S.V.
Опубликовано

Вниманию аболохнентов Тел+  !!!

 

Вы в смертельной опасности, если втыкаете провод от Тел+ прямо к себе в комп без роутера.

 

Вчера 08.08.2017 примерно в 23:11 (GMT+4) не меня была произведена атака с адреса 10.5.77.160

 

Хорошо, что AVAST умеет с этим бороться, а если бы был другой антивирус, который не умеет ?

Что тогда ? SvinnaCry ??!?!

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

dr.Evil   

dr.Evil
Опубликовано

Я обезопасился. Теперь мои данные хранятся на внешнем 4 тб винте. Включаю его только по необходимости, предварительно отключившись от сети. образ винды в акронисе чтобы если что быстро восстановить ОС

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

dr.Evil   

dr.Evil
Опубликовано

Безопасные системы - дорогие системы зачастую. Превентивные меры защиты прежде всего

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

dr.Evil   

dr.Evil
Опубликовано

убедил. жёсткий в контом уберу. контом ведь для жёсткого и предназначен

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем